12. září 2025 vstoupilo v účinnost nařízení č. 2023/2854 o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání, také známé pod názvem EU Data Act.
Cílem nového předpisu je umožnit spravedlivý přístup k datům a jejich sdílení mezi podniky, uživateli a veřejnými institucemi. Předpis upravuje pravidla pro využívání osobních, neosobních i průmyslových dat, která dříve nebyla snadno dostupná.
Koho se změna týká?
Nařízení dopadá na široké spektrum subjektů, včetně výrobců připojených výrobků, poskytovatelů souvisejících digitálních služeb a uživatelů těchto produktů. EU Data Act se vztahuje rovněž na všechny, kdo s těmito daty nakládají, tedy na prodejce, nájemce či pronajímatele připojených výrobků působících na evropském trhu, a to bez ohledu na místo jejich sídla.
Co je to připojený výrobek?
Jde o jakékoliv zařízení, které sbírá, generuje nebo uchovává data o svém používání či okolním prostředí. Zařízení dokáže data předávat dál prostřednictvím elektronické komunikace, fyzického propojení nebo přístupu k zařízení. Zároveň jeho primárním účelem není zpracování nebo správa dat jiných osob než uživatele.
Povinnosti podle EU Data Act se nevztahují jen na nové výrobky. Platí rovněž pro leasingové společnosti, pronajímatele či prodejce již použitých „chytrých“ zařízení, pokud tato zařízení nadále generují data.
K výrobkům se často vážou doprovodné digitální služby, včetně softwaru s výrobkem propojeným, bez jejichž podpory by zařízení nebylo schopno plnit své klíčové funkce.
V oblasti zdraví se může jednat například o chytré hodinky měřící životní funkce, glukometr s Bluetooth, infuzní pumpy, CT skenery či jiné diagnostické přístroje.
Co je vhodné udělat jako první?
Firmy by měly bezodkladně provést několik klíčových kroků:
- Zajistit, aby uživatelé měli snadný, bezplatný a okamžitý přístup k datům generovaným jejich produktem;
- Provést GAP analýzu (analýzu mezer a rizik) vůči požadavkům EU Data Act;
- Upravit jednotlivá ustanovení B2B smluv a odstranit z nich nespravedlivé smluvní podmínky;
- Poskytnout uživatelům jasné a srozumitelné informace o povaze a rozsahu dat a o způsobu, jak k nim přistupovat, ještě před uzavřením smlouvy;
- Zavést intuitivní mechanismy pro sdílení dat s třetími stranami podle volby uživatele;
- Nabízet data k dalšímu sdílení za spravedlivých, přiměřených a nediskriminačních podmínek;
- Implementovat opatření na ochranu obchodního tajemství při sdílení dat; a
- Aktualizovat GDPR dokumentaci a smlouvy o zpracování osobních údajů tak, aby reflektovaly nové procesy podle Data Act.
Jaké sankce hrozí při porušení EU Data Act?
Nedodržení povinností vyplývajících z nařízení o datech může vést k uložení pokut národními dozorovými orgány. V České republice bude pravděpodobně dohled vykonávat Úřad pro ochranu osobních údajů (ÚOOÚ). Výši sankcí určí jednotlivé členské státy, přičemž aktuální návrhy počítají s částkami až do výše 6 % celosvětového ročního obratu společnosti. Uživatelé budou navíc mít možnost zpochybnit nepřiměřená smluvní ustanovení a podat stížnosti u dozorových orgánů, pokud firmy nesplní své povinnosti podle EU Data Act.
Na implementaci nařízení aktivně pracovalo Ministerstvo průmyslu a obchodu. Zatím však nebyly zveřejněny konkrétní postupy pro jeho plné provedení. Předpokládá se, že pravidla budou začleněna do návrhu zákona o digitální ekonomice, který je nyní připraven v Poslanecké sněmovně k projednání ve 3. čtení jako sněmovní tisk č. 776. Nicméně konečné projednání a přijetí návrhu připadne na Poslaneckou sněmovnu již v novém složení.
Máte k novému zákonu dotazy?
Rádi s Vámi projdeme konkrétní dopady změn. Neváhejte se na nás kdykoli obrátit.
Další články autorky:
Nový zákon o kybernetické bezpečnosti: Jaké změny přináší?